基于网络流量的安卓恶意软件识别

随着针对Android系统的恶意软件数量不断增加,对恶意软件进行检测的方法也不断迭代更新,但大多都是通过对软件结构的剖析和运行时的系统调用机制,忽略了恶意行为基本是依托网络流量这一必要条件,由此提出使用深度学习的基于网络流量检测方案。采用14 702个正常样本和9 802个恶意样本构成网络流量的结构化信息,根据一个数据包内的字节间关系和不同数据包的字节间关系的紧密程度的明显不同,2个相邻数据包往往是发送方和接收方之间的一次数据交互,它们之间的时序特征关系能独立提取,构造2层双向长短时记忆循环神经网络模型并将其用于基于流量的Android恶意软件识别。实验结果表明,恶意软件的检测效率和误报率都得到显著提升。     

传统和深度学习方法在恶意软件检测中的应用

深度学习作为机器学习技术的拓展,凭借其自身强大的数据处理能力,在图像处理和语音识别等方面表现出色.在软件安全领域,恶意软件的威胁是软件领域主要安全风险之一,可以利用深度学习算法有效提升恶意软件的检测效率.基于此,分析传统和基于深度学习的恶意软件检测方法,验证了在传统的分析方式下融入深度学习模型框架,可以在大量恶意样本中训练出较好的检测模型,同时讨论了未来软件安全可能面临的主要挑战.     

基于拓扑链路识别的光网络流量数据合成算法

基于深度学习的光网络流量诊断与预测等场景中,由于保密等原因,光链路的流量数据采集和存储工作受限。针对数据量少而无法支撑深度学习的问题,文章提出了一种基于拓扑链路识别的光网络流量数据合成算法,其核心思想是在生成对抗网络框架下,联合基于光网络拓扑的条件生成模型和基于光网络流量的数据合成模型,以自监督的方式合成指定光链路的流量数据。仿真结果表明,所提算法合成的光网络流量数据在自相关系数指标上与真实数据接近且使得基于全连接神经网络的流量预测模型准确率达到95%以上。     

一种基于伪标签的半监督少样本学习模型

如何将带有大量标记数据的源域知识模型迁移至带有少量标记数据的目标域是少样本学习研究领域的热点问题.针对现有的少样本学习算法在源域数据与目标域数据的特征分布差异较大时存在的泛化能力较弱的问题,提出一种基于伪标签的半监督少样本学习模型FSLSS（Few-Shot Learning based on Semi-Supervised）.首先,利用pytorch深度学习框架建立一个关系型深度学习网络,并使用源域数据对网络进行预训练;然后,使用此网络对目标域数据进行分类预测,将分类概率最大的类标签作为数据的伪标签;最后,利用目标域的伪标签数据和源域的真实标签数据对网络进行混合训练,并重复伪标签标记与混合训练过程.实验结果表明,相对于现有主流少样本学习算法,FSLSS模型有更好的泛化能力及知识迁移效果.     

一种端到端的加密流量多分类粗粒度融合算法

网络流量分类在网络安全领域发挥着重要作用,广泛应用于网络异常行为检测、网络入侵检测等研究及应用领域。随着网络加密技术的广泛使用,基于表征学习的深度学习方法由于其自动提取特征的特性,在加密流量分类领域取得了不错的性能表现。在表征学习的基础上,针对加密流量分类,提出了一种端到端的多分类粗粒度融合算法。在ISCX VPN-nonVPN数据集上的实验结果表明,所提算法与同类算法相比有更好的流量分类性能表现以及更快的收敛速度。     

基于僵尸网络流量特征的深度学习检测

僵尸网络作为一种新型攻击方式,如今已成为互联网安全领域面临的重大威胁。随着计算机网络的发展,僵尸网络逐渐从传统的基于IRC协议向基于HTTP协议转变。海量的HTTP数据流使得僵尸网络可以有效的隐藏自身,这给僵尸网络的检测和识别增加了难度。通过分析HTTP网络流量,获取僵尸网络流量特征,提出将深度学习应用于僵尸网络检测的方法。实验结果显示,该方法可以有效地、准确地从HTTP流量中检测僵尸网络。     

基于1D CNN与XGBoost的恶意代码纹理检测

恶意代码数量已经呈现爆炸式增长,对于恶意代码的检测防护显得尤为重要.近几年,基于深度学习的恶意代码检测方法开始出现,基于此,提出一种新的检测方法,将恶意代码二进制文件转化为十进制数组,并利用一维卷积神经网络(1 Dimention Convolutional Neural Networks,1D CNN)对数组进行分类和识别.针对代码家族之间数量不平衡的现象,该算法选择在分类预测上表现良好的XGBoost,并对Vision Research Lab中的25个不同恶意软件家族的9458个恶意软件样本进行了实验.实验结果表明,所提的方法分类预测精度达到了97％.     

通信网络下恶意检测及终端设备安全研究

无线通信技术的快速发展,促使了移动终端市场的繁荣。爆炸式增长的网络流量使得监控变得十分棘手,导致移动终端市场存在一系列安全隐患。安卓因其自身的流行性和便利性,已经成为手机终端市场占有率第一的操作平台。然而,庞大的市场份额也使得其成为恶意攻击者的首要攻击目标。针对通信网络中恶意软件的数量暴增以及伪装技术的升级,现有的多采用单一的特征如权限(Permission)进行分析的研究工作不足以应付当今的发展趋势,因此提出了基于权限(Permission)和服务(Service)特征相结合的恶意软件检测模型PSDroid。为了评估所提方法的性能,分别从Google Play和Virus Share上收集了的864个良性应用和1938个恶意应用。实验结果表明,所提出的模型准确率达到95.65%,优于对单一Permission特征分析的结果。此外,与当前现有的基于深度学习或机器学习的模型相比,针对通信网络下恶意软件检测,所提方法仍然存在显著优势。     

基于深度特征学习的网络流量异常检测方法

针对网络流量异常检测过程中提取的流量特征准确性低、鲁棒性差导致流量攻击检测率低、误报率高等问题,该文结合堆叠降噪自编码器(SDA)和softmax,提出一种基于深度特征学习的网络流量异常检测方法。首先基于粒子群优化算法设计SDA结构两阶段寻优算法：根据流量检测准确率依次对隐藏层层数及每层节点数进行寻优,确定搜索空间中的最优SDA结构,从而提高SDA提取特征的准确性。然后采用小批量梯度下降算法对优化的SDA进行训练,通过最小化含噪数据重构向量与原始输入向量间的差异,提取具有较强鲁棒性的流量特征。最后基于提取的流量特征对softmax进行训练构建异常检测分类器,从而实现对流量攻击的高性能检测。实验结果表明：该文所提方法可根据实验数据及其分类任务动态调整SDA结构,提取的流量特征具有更高的准确性和鲁棒性,流量攻击检测率高、误报率低。

     

基于数据增强和集成学习的网络流量检测

针对网络流量检测中普遍存在的恶意流量样本不平衡问题，提出了一种基于数据增强和集成学习的分类方法。该方法采用K-means+SMOTE数据增强来平衡不同类别的数据样本，然后利用集成学习模型提高分类模型的泛化能力。在两个公开数据集上的实验结果表明，使用XGBoost进行二元和多类分类时，准确率分别达到99.1%和97.19%。与CNN、随机森林和LightGBM等模型相比，所提方法始终表现出显著性能优势。     

小样本下的抗主瓣间歇采样转发干扰目标检测方法

基于现阶段应用于雷达抗干扰研究中的深度神经网络模型大多是在大量有标签的仿真数据样本上进行多次优化更新,当样本数量受限时,极易出现参数估计偏差大及过拟合问题,文中提出了一种基于Wasserstein生成对抗网络的小样本抗主瓣干扰目标检测方法.该方法首先利用深度神经网络构建了从接收到抗干扰检测的端到端的处理过程,然后采用W...     

基于LSTM与改进残差网络优化的异常流量检测方法

传统的网络异常流量检测方法往往存在特征选择差与泛化能力较弱等缺陷,导致检测精度较低.为此,提出了一种基于长短记忆网络(LSTM)与改进残差神经网络优化的异常流量检测方法.首先分析网络流量特征,通过预处理来降低网络流量特征值的差异性;然后设计了一种三层堆叠LSTM网络来提取不同深度的网络流量特征;最后设计了一种带跳跃连接...     

基于对比增量学习的细粒度恶意流量分类方法

为应对层出不穷的新型网络威胁，提出了一种基于对比增量学习的细粒度恶意流量识别方法。所提方法基于变分自编码器和极值理论，在对已知类、小样本类和未知类流量实现高性能检测的同时，还可以在不采用大量原任务样本的条件下快速实现对新增恶意类的识别，以满足增量学习场景下对存储成本和训练时间的要求。具体来说，模型将对比学习融入变分自编码器的编码阶段，并采用A-Softmax实现对已知类和小样本类的识别；将变分自编码器重构与极值理论结合，采用重构误差实现对未知类的识别；利用变分自编码器存储原有类知识，采用样本重构和知识蒸馏方法，在不采用大量原有类样本的条件下实现对所有类样本的识别。实验结果表明，所提方法不仅实现了对已知类、小样本类和未知类流量高性能检测，并且所设计的样本重构和知识蒸馏模块均可有效降低增量学习场景下对原有类知识的遗忘速度。     

基于小样本学习的语音端点检测

语音端点检测作为语音信号处理前端处理部分的一个重要环节,是各种语音任务的基础。基于深度神经网络的语音端点检测在数据支撑上需要对语音进行大量帧级别的标注,针对此问题,文中提出一种基于原型网络（ProtoNet）的小样本学习（Few-shot Learning）的语音端点检测算法,进一步减少在语音端点检测算法过程中因帧级别数据标注带来的繁琐工作。该算法利用所给出的标签计算出一个分类中心,通过计算查询点到分类中心的距离将未给出标签的查询点归类到分类中心,得到一个原型中心;在测试集上,计算测试集中的查询点与原型中心的距离并进行测试。实验语料基于MUSAN语音库,使用该语音库自带的噪声库进行加噪。实验结果表明,在各种环境噪声下,基于小样本学习的语音端点检测算法的性能优于基于深度神经网络的语音端点检测算法,而且该算法能够显著减少语音端点检测算法的数据准备工作量与系统数据量。     

一种基于相似度的DDoS攻击检测方法

在分析了网络流量构成的基础上,提出了基于相似度的DDoS检测方法。这种方法不是简单的根据流量的突变来检测网络状况,而是从分析攻击对流量分布的影响着手。首先对网络流量进行高频统计,然后对其相邻时刻进行相似度分析,根据相似度的变化来发现异常。从大量的实验结果可以看出基于相似度的检测方法能够比较有效的发现大流量背景下,攻击流量并没有引起整个网络流量显著变化的DDoS攻击,因此更适合大规模网络的异常检测。     

基于数学建模的无线通信网络异常流量检测方法

由于传统方法在无线通信网络异常流量检测应用中平均绝对百分比误差比较大,响应时间比较长,无法取得预期的异常流量检测效果,提出基于数学建模的无线通信网络异常流量检测方法。建立无线通信网络流量数学模型,描述网络流量状态,利用数学模型完成网络流量与参考流量对比,利用相像系数法提取到网络流量显性特征,利用小波分析技术提取到网络流量隐性特征,通过特征融合,并将特征值与阈值比较,识别检测到异常流量,以此完成基于数学建模的无线通信网络异常流量检测。经实验证明,设计方法平均绝对百分比误差小于1%,响应时间在2.5s以内,在无线通信网络异常流量检测方面具有良好的应用前景。     

弱标签声音事件检测的空间-通道特征表征与自注意池化

深度神经网络声音事件检测方法需要大量标记声音事件类别和起止时间的强标签音频样本,然而强标签标注非常困难和耗时.弱标签声音事件检测是解决这一困难的有效途径.本文将弱标签声音事件检测作为多实例学习问题,并基于卷积循环神经网络提出弱标签声音事件检测的空间-通道特征表征与自注意池化方法 .该方法研究多实例弱标签声音事件检测的特征表征和帧级预测结果池化两个方面的内容.在特征表征方面,为了增强卷积神经网络的特征表征能力,结合上下文门控和通道注意机制构建门控注意力结构并嵌入到卷积循环神经网络中,实现了音频样本特征的空间和通道特征选择;在预测结果池化方面,引入自注意思想设计音频帧预测结果的自注意池化方法,增强了音频样本中事件帧之间的相关度,使事件帧获得更大的权重.本文方法通过对卷积循环神经网络特征表征和预测结果池化的革新,有效提升了模型的检测性能.本文提出的方法在DCASE 2017任务4和DCASE 2018任务4数据集的评估集中分别取得了52.47%和31.00%的F1得分,性能优于当前绝大部分的弱标签声音事件检测方法 .实验结果表明：本文提出的空间-通道特征表征与自注意池化方法能显著改善弱标签声...     

融合生成式神经网络和深度神经网络的流量异常检测

针对网络攻击隐蔽性和动态多变的特征,提出一种融合生成式神经网络和深度神经网络的流量异常检测方法,该方法针对网络流量数据不平衡问题,采用生成式神经网络实现样本库的扩充,在此基础上,采用Dense Net实现网络流量多层次特征的提取,该方法通过加强不同层次特征的传递,实现不同层次特征的融合,为网络流量异常识别提供基础。实验表明,本文提出的方法在准确率、召回率、漏检率以及平均处理时间均优于单纯使用CNN或LSTM的方法,因此,本文方法能够有效检测网络异常流量,具有一定的可用性。     

基于深度学习的标签缺陷检测系统应用

依据深度学习算法可以自主进行特征学习和识别的特点,提出一种基于主成分分析法的深度学习模型,构建印刷标签检测系统,从中进行信息提取和学习处理。实验结果表明,该方法的分类识别率高达94.6%。与传统标签缺陷检测算法相比,这种研究方式更加注重原始图像的特征提取,无需进行复杂的模板制作,实现方法简单,适应性强。     

基于SARIMA-LSTM组合模型的网络流量预测方法

针对网络流量预测问题，提出一种基于SARIMA和LSTM组合模型的网络流量预测方法。首先，利用S-HESD算法对异常流量数据进行检测，并通过滑动窗口均值进行数据平滑处理；然后，利用基于统计学习的SARIMA模型预测流量数据，并将其作为LSTM神经网络的输入，最终输出流量预测值。实验结果表明，SARIMA-LSTM组合模型能充分呈现骨干网、城域网、边缘接入网等不同层级网络的周期性和趋势性等特点，优于SARIMA、LSTM等单一模型。